Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Privacy e non profit online: profilazioni digitali di donatori e aderenti nel rispetto della legge - festival ICT 2015

390 views

Published on

Relatore: Luca Bolognini
Presidente dell’Istituto Italiano per la Privacy

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Privacy e non profit online: profilazioni digitali di donatori e aderenti nel rispetto della legge - festival ICT 2015

  1. 1. Avv. Luca Bolognini Founding Partner ICT Legal Consulting Presidente Istituto Italiano per la privacy 1 Privacy on line e non profit (onlus, ONG, associazioni, enti, partiti)
  2. 2. Trattare dati senza scopo di lucro: quali norme si applicano Direttive 95/46/EC e 2002/58/EC Codice Privacy (D.Lgs. 196/2003): da evidenziare in particolare l’articolo 24 e l’articolo 26 Autorizzazione Generale Garante per la protezione dei dati personali n. 3/2014 e ss. aa. (residualmente l’Autorizzazione n. 2/2014 per i dati su salute e vita sessuale)
  3. 3. Trattare dati senza scopo di lucro: quali norme si applicano Articolo 24 comma 1 lett. h) del Codice Privacy (per dati personali comuni): Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento: h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13
  4. 4. Trattare dati senza scopo di lucro: quali norme si applicano Articolo 26 comma 4 lett. a) del Codice Privacy: I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante: a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13
  5. 5. Trattare dati senza scopo di lucro: quali norme si applicano Articolo 37 comma 1 lett. c) del Codice Privacy: Notificazione al Garante Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale
  6. 6. Trattare dati senza scopo di lucro: quali norme si applicano Articolo 167 del Codice Privacy: Il delitto di illecito trattamento dei dati è applicabile alle persone operanti in una non profit? Permangono dubbi sulla qualificazione del «profitto» mentre certamente può configurarsi il dolo specifico di «recare un danno ad altri» 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
  7. 7. Trattare dati senza scopo di lucro: quali norme si applicano Autorizzazione n. 3/2014 - Autorizzazione al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni L'autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in particolare per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione anche con riguardo alla libertà di scelta dell'insegnamento religioso, di formazione, di ricerca scientifica, di patrocinio, di tutela dell'ambiente e delle cose d'interesse artistico e storico, di salvaguardia dei diritti civili, nonché di beneficenza, assistenza sociale o socio- sanitaria, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi, per l'esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia. Per i fini predetti, il trattamento dei dati sensibili può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa dell'associazione, della fondazione, del comitato o del diverso organismo, o per l'adempimento di obblighi fiscali, ovvero per la diffusione di riviste, bollettini e simili.
  8. 8. Trattamenti digitali di dati da parte di non profit Gestione amministrativa/contabile delle adesioni e dei contatti via web/app Comunicazioni automatizzate di servizio o istituzionali (es. email di conferma di adesione o di aggiornamento su eventi organizzati dalla non profit inviate ad aderenti o soggetti in contatto regolare con l’organismo) E-Donations e E-Commerce (profit residuale) Profilazione digitale di dati non sensibili di aderenti e soggetti in contatto regolare Profilazione digitale degli utenti on line Direct Marketing per raccolta fondi con sistemi automatizzati No consenso Area dubbia Consenso
  9. 9. Trattamenti digitali di dati da parte di non profit Legittima la profilazione digitale di dati sensibili da parte di organismi non profit? A mio parere, sì ma solo nei limiti e per gli scopi specificati nell’Autorizzazione n. 3/2014 (scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti) e nel rispetto dei principi ex art. 11 del Codice Privacy e solo con riferimento ad associati, soci, aderenti, sostenitori o sottoscrittori, nonché ai soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con l’organismo non profit; a soggetti che ricoprono cariche sociali o onorifiche; a beneficiari, ad assistiti e a fruitori di attività o servizi prestati dall'organismo, limitatamente ai soggetti individuabili in base allo statuto o all'atto costitutivo o comunque a coloro nell'interesse dei quali gli organismi possono operare in base ad una previsione normativa
  10. 10. Trattamenti digitali di dati da parte di non profit Legittima la profilazione on line (su siti, app, social) da parte di organismi non profit? Se la slide precedente è vera, in caso di profilazioni di dati degli utenti on line – per esempio via web o app – in generale legittime se operate nel rispetto del Provvedimento Generale sui cookie dell’8 maggio 2014 e delle Linee Guida sulla profilazione del 19 marzo 2015 del Garante, potrebbero tuttavia presentarsi delle complicazioni. Infatti, accade che l’interazione con il sito web o la app o la pagina social di un organismo non profit sia idonea a rivelare dati sensibili degli utenti (e in tal caso si applicherebbero i limiti ex Autorizzazione n.3 del Garante): taluni organismi non profit hanno «tocco di Mida» per la particolare attività che svolgono e trasformano anche dati comuni in dati sensibili
  11. 11. Trattamenti digitali di dati da parte di non profit Le liste di indirizzi e contatti di aderenti e soggetti in contatto regolare: sono dati sensibili o no? Di nuovo il «tocco di Mida» Sì, anche gli indirizzari sono considerabili sensibili se l’adesione e/o il contatto regolare con l’organismo non profit sono idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
  12. 12. Strategia privacy digitale per il non profit Tutelare il patrimonio informativo vitale dell’ente non profit e valorizzare i database senza frenare le attività, mediante: • Censimento dei trattamenti digitali, degli interessati e degli utenti • Aggiornamento del perimetro degli scopi legittimi perseguiti (anche con integrazioni statutarie) • Data Protection by Design (legale+ICT) applicata al database: stratificazione e previsione di casistiche incrociate di utilizzabilità dei dati a seconda dei fini, delle modalità e degli interessati coinvolti • Revisione delle informative e, quando necessari, dei consensi • Irrobustimento delle clausole contrattuali e/o revisione delle relazioni con i fornitori esterni (list brokers, social networks, agenzie di comunicazione digitale)
  13. 13. Grazie dell'attenzione Domande? Via email luca.bolognini@ictlegalconsulting.com ma anche via social network http://www.facebook.com/luca.bolognini http://twitter.com/lucabolognini https://it.linkedin.com/in/lucabolognini

×